Reactie op beveiligingsincidenten

Wat is Reactie op beveiligingsincidenten?

Beveiligingsincidentrespons onder de AVG vereist dat organisaties vaststellen of een beveiligingsincident persoonsgegevens betreft en, zo ja, specifieke beoordelings- en meldingsprocedures volgen binnen strakke regelgevingsdeadlines. Niet elk beveiligingsincident is een datalek, maar elk datalek begint als een beveiligingsincident. Die vaststelling snel en nauwkeurig maken is de kernvaardigheid die deze oefening ontwikkelt. U krijgt de leiding over een actief beveiligingsincident waarbij uw netwerkmonitoring verdachte data-exfiltratiepatronen detecteert. U moet coördineren tussen IT-beveiliging, die de dreiging wil indammen en onderzoeken, en het privacyteam, dat de persoonsgegevensimplicaties moet beoordelen en regelgevingsverplichtingen moet beheren. Deze twee prioriteiten zijn soms tegenstrijdig: forensisch onderzoek kan vereisen dat gecompromitteerde systemen online blijven voor bewijsverzameling, terwijl gegevensbescherming onmiddellijke inperking vereist. De oefening begeleidt u bij het opbouwen van een multidisciplinaire incidentresponsworkflow die aan beide doelen voldoet. U oefent de triagebeslistboom: het classificeren van de incidentseveriteit, vaststellen of persoonsgegevens zijn benaderd of geëxfiltreerd, het beoordelen van het aantal getroffen personen en het evalueren van het risico voor hun rechten. Als het incident kwalificeert als een datalek van persoonsgegevens, moet u het artikel 33-meldingsproces activeren terwijl het onderzoek nog loopt, wat inhoudt dat u aan de toezichthoudende autoriteit rapporteert met onvolledige informatie en u committeert aan gefaseerde updates. Volgens het IBM 2024 Cost of a Data Breach Report verlagen organisaties met geteste incidentresponsplannen de gemiddelde kosten van een lek met USD 2,66 miljoen in vergelijking met organisaties zonder dergelijke plannen.

Wat je leert in Reactie op beveiligingsincidenten

• Een beveiligingsincident triageren om vast te stellen of persoonsgegevens zijn benaderd, geëxfiltreerd of gecompromitteerd
• Parallelle workstreams coördineren tussen IT-beveiligingsinperking en regelgevingsverplichtingen van het privacyteam
• De beslisboom voor lekclassificatie toepassen om ernst, reikwijdte en meldingsvereisten te beoordelen
• Rapporteren aan toezichthouders met onvolledige informatie en daarbij committeren aan gefaseerde openbaarmaking-updates
• Een multidisciplinaire incidentresponsworkflow opbouwen die voldoet aan zowel forensisch onderzoek als gegevensbeschermingsbehoeften

Reactie op beveiligingsincidenten — Trainingsstappen

1. Introductie

   De training van vandaag leert u over GDPR-conforme respons op incidenten: hoe u beveiligingsgebeurtenissen beoordeelt, vereisten voor melding van inbreuken bepaalt en de juiste procedures activeert wanneer persoonlijke gegevens in gevaar kunnen komen.

2. Uw dienst starten

   Alice begint haar ochtenddienst bij het Security Operations Center (SOC). Het dashboard toont normale activiteitsniveaus - een paar routinematige waarschuwingen die al door het nachtelijke team zijn beoordeeld. SecureNet Financial verzorgt de betalingsverwerking voor honderden zakelijke klanten. Het SOC controleert 24 uur per dag op ongeautoriseerde toegang, gegevensexfiltratie, beleidsschendingen en andere beveiligingsgebeurtenissen.

3. Waarschuwing met hoge ernst

   Plots verschijnt er een zeer ernstige waarschuwing op het dashboard. De SIEM heeft ongebruikelijke inlogpogingen gedetecteerd: meerdere mislukte authenticatiepogingen gevolgd door een succesvolle login vanaf een buitenlands IP-adres. De waarschuwing geeft aan dat het account toebehoort aan een systeembeheerder met verhoogde rechten. Dit kan een brute-force-aanval zijn die erin slaagt de inloggegevens in gevaar te brengen.

4. Analyse van de inlogwaarschuwing

   De waarschuwingsdetails onthullen de volgende informatie: Account : sysadmin_jsmith (systeembeheerder) Bron-IP : 185.220.101.45 (Oost-Europa) Mislukte pogingen : 47 gedurende 3 uur Succesvolle aanmelding : 06:47 uur lokaal tijd Sessieduur : 2 uur en 13 minuten De legitieme accounteigenaar, John Smith, is momenteel op vakantie in Spanje, maar de login kwam volledig uit een ander land.

5. Er verschijnt een tweede waarschuwing

   Terwijl u de inlogwaarschuwing bekijkt, verschijnt er een tweede waarschuwing: middelmatig ernstig. Het Data Loss Prevention (DLP)-systeem heeft een groot gegevensexportverzoek gemarkeerd. Iemand heeft het gecompromitteerde sysadmin-account gebruikt om klantrecords uit de productiedatabase te exporteren. De export werd voltooid voordat de geautomatiseerde systemen deze konden blokkeren.

6. De omvang van de inbreuk

   De waarschuwing voor het exporteren van gegevens onthult de omvang van de potentiële schade: Geëxporteerde records : 50.000 klantrecords Gegevenstypen : volledige namen, e-mailadressen, telefoonnummers, financiële rekeningnummers, transactiegeschiedenis Exportbestemming : externe FTP-server (IP: 185.220.101.89) Tijd van exporteren : 07:15 lokale tijd Dit is niet langer slechts een beveiligingsgebeurtenis: persoonlijke gegevens zijn geëxfiltreerd naar een externe server die wordt beheerd door onbekende partijen.

7. Bevestiging van de waarschuwingen

   Alice moet beide waarschuwingen bevestigen om aan te geven dat er actief onderzoek naar wordt gedaan. Hierdoor ontstaat een audittrail die laat zien wanneer het SOC zich bewust werd van de potentiële inbreuk. Op grond van de AVG wordt de organisatie beschouwd als ‘op de hoogte’ van een inbreuk wanneer het SOC een incident met persoonsgegevens constateert – niet wanneer het onderzoek is afgerond.

8. De waarschuwing voor gegevensexport bevestigen

   De ongeautoriseerde toegang is gemarkeerd als bevestigd. Nu moet Alice ook de waarschuwing voor gegevensexport bevestigen. Nu beide waarschuwingen worden erkend, is er een duidelijke tijdstempel die aangeeft wanneer SecureNet Financial zich bewust werd van de mogelijke inbreuk op persoonlijke gegevens.

9. Nalevingsstatus controleren

   Voordat ze het incident escaleert, controleert Alice het compliancedashboard om inzicht te krijgen in de huidige beveiligingssituatie van de organisatie. Deze context helpt bepalen welke controles mogelijk hebben gefaald. Inzicht in de bestaande lacunes in de naleving kan helpen verklaren hoe de inbreuk heeft plaatsgevonden en welke maatregelen prioriteit moeten krijgen.

10. Het identificeren van de kwetsbaarheid

    Het nalevingsdashboard onthult een kritiek probleem: Toestemmingsbeheer : conform DSAR-reactietijd : conform Gegevensversleuteling : conform MFA-handhaving : waarschuwing: 23% van de beheerdersaccounts heeft geen MFA Gegevensretentie : conform De gecompromitteerde sysadmin-account was een van de 23% zonder Multi-Factor Authenticatie ingeschakeld. Door dit beveiligingslek kon de aanvaller toegang krijgen met alleen gestolen inloggegevens.